持续风险评估

随着便携式计算设备和互联网的增加,Citrix Workspace 用户几乎可以在任何位置和任何设备上工作。这种灵活性面临的挑战是,远程访问通过网络犯罪活动(如数据泄漏、盗窃、破坏和服务中断)使敏感数据面临安全风险。组织内的雇员也可能造成这种损害。

解决此类风险的一些传统方法是实施多重身份验证、短登录会话等。虽然这些风险评估方法可确保更高级别的安全性,但在初步验证用户后,它们并不能提供完全的安全性。如果恶意用户成功访问网络,他们会滥用对组织有害的敏感数据。

为了增强安全性并确保更好的用户体验,Citrix Analytics 引入了持续风险评估解决方案。此解决方案可确保 Citrix Virtual Apps and Desktops 用户的风险与初始阶段验证时的风险保持不变,从而保护您的数据免受外部网络犯罪分子和恶意内部人员的侵害。此解决方案是通过在会话期间持续评估风险事件以及自动应用措施来防止组织的资源进一步滥用来实现的。

持续风险评估

用例

假设用户 Adam Maxwell 能够在从违反其惯常行为的一个不寻常的位置多次登录尝试失败后首次访问网络。此外,该位置具有网络攻击的跟踪记录。在这种情况下,您需要立即采取措施,以避免 Adam 的帐户被进一步滥用。您可以锁定 Adam 的帐户并通知他所采取的行动。此操作可能会暂时对用户帐户造成服务中断。用户可以与管理员联系以获得恢复帐户的帮助。

假设另一种情况,即 Adam 首次从新设备和新 IP 访问网络。您可以联系 Adam,询问他是否识别此活动。如果是这样,那么亚当可能已经改变了他的工作设备,并且在他的家庭网络上工作。此活动不会对组织的安全性造成任何损害,并且可以忽略。但是,如果用户没有执行此活动,则可能该帐户已被盗用。在这种情况下,您可以锁定用户的帐户,以防止任何进一步的损坏。

主要功能

持续风险评估可实现与策略和可见性控制板相关的一些功能的自动化:

支持多种条件

创建或修改策略时,最多可以添加四个条件。这些条件可以包含默认风险指示器和自定义风险指示器、用户风险评分或两者的组合。

有关详细信息,请参阅什么是策略

应用操作前通知用户

在对用户帐户应用适当操作之前,您可以通知用户并评估检测到的异常活动的性质。

有关详细信息,请参阅请求用户响应

应用操作后通知用户

对于某些活动,在应用操作之前等待用户响应可能会使用户帐户和组织的安全受到威胁。在这种情况下,您可以在检测到异常活动时应用中断操作,并通知用户相同的操作。

有关详细信息,请参阅应用中断操作后通知用户

强制和监视模式

您可以根据您的要求将策略设置为强制或监视模式。强制执行模式下的策略会直接影响用户的帐户。但是,如果要在实施策略之前评估策略的影响或结果,则可以将策略设置为监视模式。

有关详细信息,请参阅支持的模式

查看访问和策略控制板

使用访问摘要控制板,您可以深入了解用户的访问尝试次数。有关详细信息,请参阅访问摘要

使用策略和操作控制板,您可以深入了解应用于用户帐户的策略和操作。有关详细信息,请参阅策略和操作

默认策略

Citrix Analytics 引入了默认情况下在策略控制板上启用的预定义策略。这些策略是通过使用风险指示器和用户风险评分作为预定条件创建的。将为每个默认策略分配一个全局操作。

有关详细信息,请参阅什么是策略

您可以使用以下默认策略或根据您的要求修改它们:

策略名称 条件 数据源 操作
成功利用凭据漏洞 当触发“过多的身份验证失败”、“首次从新位置访问”和“过多的授权失败”风险指示器时 Citrix Gateway 锁定用户
潜在的数据泄漏 潜在数据泄露风险指示器触发时 Citrix Virtual Apps and Desktops 注销用户
来自可疑 IP 的异常访问 触发从新位置首次访问从可疑 IP 登录风险指示器时 Citrix Gateway 锁定用户
从一个不寻常的位置访问不寻常的应用程序 触发应用程序访问的异常时间来自新位置的首次访问风险指示器时 Citrix Virtual Apps and Desktops 以及 Citrix Gateway 锁定用户
低风险用户-从新 IP 首次访问 当风险分数小于 70 的用户触发从新 IP 风险指示器首次访问时 Citrix Gateway 请求用户响应
首次从设备访问 触发新设备首次访问风险指示器时 Citrix Virtual Apps and Desktops 请求用户响应

持续风险评估